Menu
Close

製品の紹介

Vex

株式会社ユービーセキュア

株式会社ユービーセキュアのVexは、優れた脆弱性検出率を持つ、純国産のWebアプリケーション脆弱性検査ツールです。 国産のため、導入から運用までのサポートが整っているのが魅力です。事前の知識や経験がなくても安心してスタートできる支援サービスもあります。また、2007年のリリース以来、多くの企業に利用されており、診断チームや各セキュリティベンダーが数千サイトに及ぶ診断実績をフィードバックすることで、常に進化を続けています。

最終更新日: 2022/06/30
情報更新者: デジタル化の窓口
情報取得元

※この情報はデジタル化の窓口が作成したものであり、製品提供企業及び導入企業が確認したものではございません。(掲載修正・取り下げ依頼はコチラ

  • この導入事例のポイント
    • 年一回程度実施する既存の脆弱性診断ではセキュリティ担保をするのが難しくなっていた
    • 使い勝手が良く、継続的な運用が可能だと判断し、同社の脆弱性診断検査ツールを導入
    • 開発パートナーと連携し、リリース前の段階で問題を特定し修正する仕組みを整えられた
    • 顧客に対して開発時のセキュリティ検査工程や体制などが明確に説明できるようになった
    • 開発に携わるエンジニアのセキュリティ意識やリテラシーを向上させることができた

    製品を導入することになった背景

    株式会社イー・スタッフィングは、派遣社員の契約管理から勤怠管理、請求管理といった業務を一本化する「e-staffingシステム」の開発・運用を約20年にわたって行ってきました。このシステムは、サービス提供開始から20年近く経過し、法改正や顧客のニーズに応じて機能追加や改修を繰り返してきました。しかし、システムの複雑化やユーザーインターフェイスの進化に伴い、一部の機能の改修が難しくなってきました。このような背景から、2018年にシステムの根本的なリニューアルを開始しました。

    導入前に企業が抱えていた課題

    e-staffingシステムは、改修の積み重ねにより、一部の機能が複雑化しており、一箇所の改修が他の部分に影響を及ぼす可能性がありました。また、ユーザーインターフェイスの進化に伴い、見た目と機能の結合が強くなり、小さな改修でも多くの手間がかかる状況でした。さらに、派遣スタッフの契約情報や勤怠情報などの機密情報を管理しているため、セキュリティも非常に重要であり、顧客からのセキュリティに関する要求も増加していました。

    導入前の課題に対する解決策

    セキュリティの強化を目指し、Webアプリケーションの脆弱性対策を強化することを決定しました。株式会社イー・スタッフィングは、外部の専門業者に年に一回脆弱性検査を依頼していましたが、e-staffingシステムの改修頻度が高く、毎月のようにアップデートを行っていたため、年に一回の検査では不十分と判断しました。この課題を解決するために「Vex」というWebアプリケーション脆弱性検査ツールを導入することを決定しました。Vexは、開発プロセスに組み込み、改修の都度脆弱性をチェックすることができるツールであり、使い勝手が良く、継続的な運用が可能でした。

    製品の導入により改善した業務

    Vexの導入により、開発プロセスの中で脆弱性検査を行うことができるようになりました。これにより、リリース前に脆弱性を発見し、修正することができるようになりました。また、顧客からのセキュリティに関する質問に対して、明確な回答を提供することができるようになりました。Vexの導入以来、約10年が経過し、サポート窓口との連携も強化され、バージョンアップも円滑に進めることができています。Vexの導入により、製品の信頼性を高める取り組みを継続的に行い、顧客からの信頼を獲得することができました。
  • この導入事例のポイント
    • 外部委託の検査はコスト負担が重く、その結果も実施者のスキルに大きく依存していた
    • 検査の取捨選択、自由度が高いレポートとCIツールとの連携を提供するVexを採用
    • 検査精度の高さと自由度の高いレポート機能により、セキュリティ検査の内製化を実現
    • 組織全体でセキュリティに対する意識が高まり、積極的に情報収集を行う組織体へと変化
    • インドネシア社会全体の、セキュリティレベルの底上げに貢献することを目指したい

    製品を導入することになった背景

    グローバルITサービスプロバイダーとして、インドネシアで活動するPT. NTT DATA Indonesia(NTTデータインドネシア)は、多数の企業に提供している社員福利厚生のクラウドサービスを担当しています。特に「HR-Zero」という人事給与情報管理システムの開発では、高い機密性が求められる情報を扱うため、セキュリティレベルを一段引き上げる必要があると感じました。Vexを導入する前は、セキュリティ検査が必要な場合、日本国内のグループ企業の診断サービスやインドネシア国内の第三者の診断サービスを利用していましたが、コストやスキルの依存という課題がありました。

    導入前に企業が抱えていた課題

    NTTデータインドネシアは、日系グローバル企業現地法人を中心に、多くの企業にクラウドサービスを提供していました。特に「HR-Zero」という人事給与情報管理システムでは、高い機密性が求められる情報を扱っていました。しかし、セキュリティ検査を行う際のコスト負担や、診断結果の質が実施者のスキルに依存するという課題がありました。また、無償診断ツールを使用する試みもありましたが、期待通りの成果を得ることができませんでした。

    導入前の課題に対する解決策

    セキュリティの課題に対処するため、NTTデータインドネシアはVexというWebアプリケーション脆弱性検査ツールを導入することを決定しました。Vexは日本のベンダーが開発したツールで、日本国内でのトップシェアを誇っています。Vexは自由度の高いレポート提供や、JenkinsといったCIツールとの連携が可能であり、これらの特徴が導入の決め手となりました。特に、Vexの自動巡回機能や、特定の検査パターンの選択機能は非常に便利であると感じました。

    製品の導入により改善した業務

    Vexの導入により、NTTデータインドネシアはセキュリティ意識の向上を実感しました。当初は特定のビジネスユニットのセキュリティ向上を目的としていましたが、組織全体のセキュリティ意識が高まりました。これにより、開発工程を経ても高いセキュリティレベルが担保されるようになりました。また、Vexのサポート体制も評価されており、セキュリティ専門家からのアドバイスが得られることが大きなメリットとなっています。
  • この導入事例のポイント
    • セキュリティ対策が人に依存しており、担当者によって検査の品質にばらつきが
    • 容易な環境構築で、システム開発の標準プロセスに脆弱性検査を組み込めるVexを採用
    • 脆弱性検査がツールにより標準化され、開発案件のセキュリティ品質が統一された
    • メンバー全員のセキュリティリスクに対する知識が深まり、リスクを考えた設計が可能に
    • システム開発の自動化・高速化、セキュリティ確保の両立を実現し、さらなる品質向上へ

    製品を導入することになった背景

    TISインテックグループのクオリカは、製造業や流通・サービス業のお客様に各種ITサービスを提供しています。MA第二事業部は、主要なお客様専属の部署として活動し、多くの個人情報をデータベースに持っています。このような背景から、インターネットに公開されているシステムに対して高いセキュリティ対策が必要とされていました。

    導入前に企業が抱えていた課題

    当初、マニュアルによるWebアプリケーションの脆弱性管理を行っていましたが、担当者によって検査の品質にばらつきが生じる問題がありました。人に依存したセキュリティ対策は均質化が難しく、対応にばらつきが生じてしまうという課題が存在していました。

    導入前の課題に対する解決策

    システム開発のプロセスに標準化されたツールでの脆弱性検査フェーズを組み込むことを決定しました。脆弱性検査ツールの導入を検討し、複数のツールの中から「Vex」を選定しました。Vexの選定理由としては、環境構築の容易さや使い勝手の良さが挙げられます。

    製品の導入により改善した業務

    Vexの導入により、システム開発の標準プロセスに脆弱性検査フェーズを組み込むことができました。開発者自身がVexを使用して脆弱性検査を行い、セキュリティ品質の向上と統一が実現されました。また、プロジェクトメンバー全員のセキュリティリスクに対する知識が深まり、開発の手法も大きく変わりました。
  • この導入事例のポイント
    • システムのセキュリティ対策は現場に任されており、統一して使用するツールもなかった
    • 国内シェア1位の実績、教育メニューの充実などから脆弱性管理ができるVexを導入
    • 現場社員のセキュリティ意識が向上し、セキュアな設計・プログラミング品質が向上
    • 単体テスト漏れのバグをリリース前に発見 システム開発の品質向上にも貢献
    • 診断できる脆弱性が多いのがVex シナリオ作成の自動化など、更なる機能拡充を期待

    製品を導入することになった背景

    都築電気は、ICTサービス企業として2万社を超えるお客様と取引実績を持つ企業です。近年、不正アクセスやサイバー攻撃の増加に伴い、セキュリティ対策の重要性を強く感じていました。しかし、安心・安全なシステム導入は現場任せの状態でした。このような背景から、お客様の安心・安全を守るため、システムの開発・構築におけるセキュリティ確保と有事の際の迅速な対応を目的として「都築CSIRT」を設置することとなりました。

    導入前に企業が抱えていた課題

    都築電気は、多くのお客様と取引をしているICTサービス企業でありながら、セキュリティ対策は現場任せの状態でした。不正アクセスやサイバー攻撃の脅威が増える中、安心・安全なシステム導入の必要性を感じていたものの、具体的な対策や体制が整っていなかったのです。

    導入前の課題に対する解決策

    セキュリティの確保と有事の際の迅速な対応を目的として「都築CSIRT」を設置することとなりました。この都築CSIRTは、セキュリティインシデントの早期解決を目指して活動しています。また、脆弱性管理として、リリース前のアプリケーション診断を自社で実施するための診断ツールとして「Vex」を導入することとなりました。Vexは、NRIセキュアテクノロジーズから紹介され、国内シェア1位の実績や教育メニューの充実、国産ならではの安心感を持つレポートや保守サポートが選定の理由となりました。

    製品の導入により改善した業務

    Vexの導入により、都築電気ではシステム開発時のセキュリティ品質が向上しました。具体的には、設計工程から開発標準指図書に基づいて開発が進められるようになり、Vex診断の結果を開発者に直接共有する仕組みが運用されるようになりました。これにより、現場のセキュリティ意識が向上し、セキュアな設計・プログラミングの品質も向上しました。さらに、Vexはセキュリティ品質だけでなく、システム開発全体の品質向上にも貢献しています。
  • この導入事例のポイント
    • 各プロジェクトでセキュリティレベルがばらつき、外部委託のコストや技術面でも不安
    • レポート機能、UIのわかりやすさ、脆弱性へのサポートが決め手となりVexを導入
    • 適切なコストとスキルで脆弱性検査を実施 義務化したことでシステム開発の品質が向上
    • 脆弱性検査をルール化 全社レベルでのセキュリティ向上とお客様への提案力強化を実現
    • 高品質なレポートで、開発者の技術力向上や得意先提出レポート作成の工数削減にも貢献

    製品を導入することになった背景

    富士ソフト株式会社は、国内外で組込系システム開発や業務系システム開発、プロダクト事業などのビジネスを展開する独立系ICTソリューションベンダーとして知られています。同社の経営理念には「ひのき(品質・納期・機密保持)」という精神があり、特に「機密保持」は近年の情報漏洩事例の増加を受けて、重要なテーマとして位置づけられています。2013年頃、Webサイトの脆弱性による情報流出が増加したことから、富士ソフト株式会社は社内で脆弱性に関するセミナーを開始し、その対策の一環としてリリース前の脆弱性検査を推奨していました。

    導入前に企業が抱えていた課題

    富士ソフト株式会社は、脆弱性対策の一環としてリリース前の検査を推奨していましたが、その実施の要否やレベルは各プロジェクトに委ねられていました。このため、セキュリティレベルにばらつきが生じ、プロジェクトによってはコストや技術面での課題が発生していました。外部の脆弱性診断ベンダへの委託やプロジェクトメンバーによる内製での実施が主な手段であり、統一されたセキュリティ対策が取られていなかったのです。

    導入前の課題に対する解決策

    2017年のStrutsの脆弱性問題を受けて、富士ソフト株式会社は「セキュア開発の全社統一ルールの策定」を決定しました。脆弱性検査ツールの選定において、Vexを含む3つのツールを比較検証し、その結果、Vexを選択しました。Vexの選定の決め手として、日本語レポートとUIのわかりやすさが挙げられます。特に、Webアプリケーションの脆弱性に詳しくない技術者でも理解しやすい日本語レポートが出力される点や、高品質なレポートが提供される点が評価されました。

    製品の導入により改善した業務

    Vexの導入により、富士ソフト株式会社は適切なコストとスキルでの脆弱性検査が可能となり、システム開発の品質が向上しました。また、開発者のセキュア開発への意識も高まりました。Vexは具体的な脆弱性をスクリーンショットで示すことで、開発者が脆弱性について具体的に理解する手助けをしています。この結果、プロジェクト全体のセキュリティ意識が高まり、新たな提案や相談が増加するなど、セキュリティを含めた提案活動が活発化しました。
  • よく比較されている
    「脆弱性診断ツール/サービス」の製品:29件

    29件中 1~4件表示

    脆弱性診断ツール/サービス

    日本RA株式会社のWeb Doctorは、SaaS型の診断用ツールを利用したWebサイトの自動脆弱性診断サービスです。インターネット経由で疑似攻撃を行う形で診断します。Web サーバーへのアプリケーションのインストールや、専用ハードの設置などは一切不要で、簡単なお申し込みだけですぐに始められるのが特長です。診断開始から3~5営業日で診断レポートを提出するので、スピーディに現状を把握することができます。

    製品のおすすめポイント

    • 経済産業省が定めた、情報セキュリティサービス台帳の認可サービス
    • 豊富な診断実績に加え、ツールによる自動診断で低コスト
    • お問い合わせから診断まで丁寧なフローでサポート
    運営企業情報 日本RA株式会社
    ソフト種別 クラウド型ソフト 
    基本的な機能 クロスサイトスクリプティング サーバ設定 SQLインジェクション Webアプリケーション診断 HttpOnly属性が付与されていないCookieの利用 X-Content-Type-Optionsヘッダの未設定 オープンリダイレクタ X-Frame-Optionsヘッダの未設定 アプリケーションエラーの開示 ヘッダインジェクション プラットフォーム診断 デスクトップアプリ診断 
    推奨環境 なし 
    サポート 電話 メール 
    トライアル
    最低利用期間 最低利用期間の制限なし
    よく導入している業種
    よく導入している企業の規模

    脆弱性診断ツール/サービス

    IssueHuntは、バグバウンティプラットフォームや脆弱性報告受付窓口ツールの提供を通じ、お客様の顧客情報や情報資産をサイバー攻撃の脅威から守ります。既存の対策では検知できなかった、未知の脆弱性を炙り出し、お客様の安心安全な情報サービス提供に寄与します。社内にセキュリティの知見がある方がいない場合や、セキュリティチームが多忙の場合は、サポートチームが運用を代行いたします。お客様ごとに専属マネージャーをアサインし、お客様の開発チーム等と密に連携を取りながら、まるでチームの一員かのように運用を支援させて頂きます。

    製品のおすすめポイント

    • リソースに不安があっても安心して利用できる
    • コア業務に集中したまま診断実施できる
    • コストメリットに優れた成果報酬型
    • 日本のサイバー空間を安全に
    運営企業情報 IssueHunt株式会社(2023年4月に、BoostIO株式会社より商号変更)
    ソフト種別 なし 
    基本的な機能 脆弱性診断ツール サーバ設定 Webアプリケーション診断 アプリケーションエラーの開示 プラットフォーム診断 
    推奨環境 PCブラウザ 
    サポート メール 
    トライアル
    最低利用期間 最低利用期間の制限なし
    よく導入している業種 IT・情報通信 金融
    よく導入している企業の規模 101名-300名 301名-1,000名 1,001名以上

    株式会社レイ・イージス・ジャパンの脆弱性診断は、ページ数が多くても網羅的なセキュリティ診断を早く・定額制で・全面委託ができる脆弱性診断サービスです。AIを利用したサイバー攻撃が高度化する中、レイ・イージスが独自に開発したAIエンジン搭載の脆弱性探査ツールを活用して、 効率的なツール診断とベテランのホワイトハッカーである診断エンジニアによる手動診断を組み合わせることで 、脆弱性を高速かつ網羅的に診断します。

    製品のおすすめポイント

    • OWASP Web Security Testing Guide 等世界基準に沿った診断
    • 全世界で320名以上の有資格者が 最適なプランをご提案
    • サービスにご納得いただくため 診断後のサポート機能を充実化
    運営企業情報 株式会社レイ・イージス・ジャパン
    ソフト種別 なし 
    基本的な機能 クロスサイトスクリプティング スマホアプリ(iOS・Android)診断 Webアプリケーション診断 SQLインジェクション デスクトップアプリ診断 
    推奨環境 なし 
    サポート メール 
    トライアル
    最低利用期間 最低利用期間の制限なし
    よく導入している業種
    よく導入している企業の規模

    株式会社トインクスのセキュリティ診断サービスは、脆弱性の有無を診断した上で、対策を提案するサービスで、官公庁や金融業界、インフラ業界などから幅広く支持されています。有資格者を含むチームがホワイトハッカーとしてテスト攻撃を行うことで、実際に攻撃を受ける前に脆弱性を見つけることができます。問題が見つかった際には推奨する対策を受けることができるため、自社の環境に適したセキュリティに見直すことが可能となっています。

    製品のおすすめポイント

    • 情報システム(IT)の脆弱性を診断しセキュリティを守る
    • 制御システム(OT)に対してペネトレーションテストを行う
    • 豊富な診断メニューで状況に適した対策を講じる
    運営企業情報 株式会社トインクス(TOiNX)
    ソフト種別 クラウド型ソフト 
    基本的な機能 クラウド診断 Webアプリケーション診断 プラットフォーム診断 デスクトップアプリ診断 
    推奨環境 PCブラウザ 
    サポート メール 
    トライアル
    最低利用期間 最低利用期間の制限なし
    よく導入している業種
    よく導入している企業の規模

    おすすめ比較一覧から、
    最適な製品をみつける

    カテゴリーから、IT製品の比較検索ができます。
    1544件の製品から、ソフトウェア・ビジネスツール・クラウドサービス・SaaSなどをご紹介します。

    すべてみる